[wilhelmtux-discussion] Paper fuer EDSB
Manfred Morgner
manfred.morgner at gmx.net
Mit Aug 28 02:56:57 CEST 2002
Hallo,
vielen Dank für Deine Kommentare. Das Problem ist halt oft, dass einige
Ausdrücke zwar korrekt sind, aber misverständlich wenn man sie schreibt und
nicht spricht, sprich - anders gelesen als geschrieben werden. Drum möchte
ich einige wenige Kommentare meinerseits kommentieren weil ich eben tw. auch
unklar oder zu kurz formuliert habe.
[snip]
> > darf er anfangen Fehler zu korrigieren. Es sollte wohl offensichtlich
> > sein, (Kommentar: Heikle Behauptung! Selbst wenn sie wahr ist, ist das
> > kritisch.)
>
> Warum?
> 1. Hab ich nicht erwaehnt wer das so macht (sprich falls sie nicht stimmen
> wuerde, was ja sein kann, stoert sich niemand konkretes daran)
> 2. Wenn wir betrachten was grosse Firmen fuer Geschuetz gegen OS auffahren
> finde ich duerfen wir auch unangenehme Warheiten benutzen
Ich meine, dass die Behauptung beim "Publikum" schlecht ankommt, nicht dass
es juristisch bedenklich ist. Ausserdem meine ich, dass es besser ist, nicht
"Aug um Aug" vorzugehen. Es sind auch ethische Werte, die freie Software von
der "dunklen Seite" unterscheiden. Oft muss ich mir auch auf die Lippen
beissen, aber es kommt immer gut, letztlich freundlich zu sein. Darum habe
ich Dir auch den Link zu der Rede über "Freie Software in der New Economy"
genannt. Dort findet man auch gewisse Informationen über ähnlich
Zusammenhänge, die aber nicht so aggresiv klingen.
Meine Meinung ist (ich habe Jahre gebraucht um das zu verinnerlichen), dass
es bei öffentlichen Auftritten immer besser ist, FUER etwas zu sein als GEGEN
etwas. GEGEN etwas ist jede Stammtischpolitiker. FUER etwas sind Leute, die
eine Botschaft haben.
> Remote root compromise in OpenSSH (hat nicht nur OpenBSD betroffen)
> siehe: http://www.openssh.org/txt/preauth.adv
Aha - den Bug kenne ich, war mir aber nicht sicher, ob er OpenBSD auch
betroffen hat. Es scheint mir wichtig, bei "ein Problem" das "ein" als Zahl
zu unterstreichen, darum die Erweiterung "ein einziges..", oder auch
"gerademal ein ..". Laien könnten sonst Schwierigkeiten haben, den Satz
sofort zu verstehen.
> > und der bis heute noch auf über 500-tausend Servern aktiv ist.
>
> na so viele sinds wohl nicht mehr. Siehe
> http://www.caida.org/analysis/security/code-red/
> (hab ich noch als Referenz ins paper genommen)
Prima! Meine letzte Info (von vor ca. 6 Monaten) war > 500.000 - scheint als
hätten die penetranten Zeitungsartikel in den letzten Monaten doch etwas
bewirkt. Das finde ich beruhigend.
> > ----
> > OpenSource ist in keiner Form eine Garantie für Sicherheit und
> > Datenschutz. Es gibt aber viele Punkte die diese Aspekte fördern.
> >
> > Freie Software ist keine Garantie für Sicherheit und Datenschutz. Es gibt
> > aber Faktoren, durch die freie Software sicherer und stabiler wird als
> > Closed-Source-Software.
>
> Nein, sie KANN sicherer sein, sie kann aber genausogut unsicherer und
> unstabiler als viele kommerzielle Produkte sein (z.B. BIND)
Für mich als "Abgesandter" des grossen Nordkantons klingt die erste
Formulierung inhaltlich etwa so:
"OpenSource-Software ist ziemlich sicher unsicher. Aber wenn man unbedingt
will, kann man etwas dagegen unternehmen"
Hier kommt ein impliziter Aspekt des Verständnisses der Problematik bei Laien
zum Tragen, der durch Firmen wie die Fensterfirma gesäht wurde: Die
Unwilligkeit zu wählen. Wählen ist anstrengend. "Ohne Rühren Löffelfertig"
ist cool. Die Aussage aus der Originalformulierung impliziert: Wenn ich es
sicher haben will, muss ich viel arbeiten oder viel bezahlen. Und genau das
sagt der Fensterfabrikant auch: Wenn Sie es sicher haben wollen, geben Sie
und mehr Geld, dann kriegen wir es auch hin.
Wir können das Publikum nicht erziehen, aber wir können damit rechnen, das
die, die nach uns kommen u.U. gelernt haben, zu wählen. Also ist es richtig,
den Fakt, dass Freie Software nicht _automatisch_ sicherer, ist nicht
überschwänglich zu betonen.
Freie Software ist in der Regel sicherer, OpenBSD ist von Natur aus sicher,
viele andere (wie mein geliebtes Debian GNU/Linux) sind es auch in weit
höherem Masse als die Systeme der anderen Seite. Man kann also ruhig
behaupten, dass freie Software naturgegeben sicherer ist als unfreie
Software. Dies entspricht einer Ausdrucksform, die das aktuelle Publikum
diesen Punkt korrekt einordnen lässt.
> Sorry aber Mr. Gibson erzählt sehr viel wenn der Tag lang ist und vieles
> davon ist falsch. Ich glaube nicht das der Link angebracht ist (auch wenn
> die einzelne Story interessant waere).
Ich kann das nicht nachvollziehen, Ich habe lediglich die Beiträge über die
Angriffe, die Zusammenhänge und die Kommunikation mit MS gelesen. Hier wird
(ohne zu fachlich zu werden) klar, dass MS keinen Hauch einer Vorstellung von
Sicherheit hat. Dies auf eine fundierte, nachvollziehbare und juristisch
einwandfreie Art. Ich liebe diese Artikel, weil sie in Worte fasst, was ich
(als Windows-System-Entwickler) vorher nur fühlen konnte. Meiner Meinung nach
wäre ein direkter Link auf die "Strong tale.."-Story auch für Laien nützlich.
Ob Herr Gibson in seinen theoretischen Betrachtungen oder im technischen
Detail immer 100% RFC-konform ist, ist dabei nicht so wichtig. Am
geschilderte Sachbestand ändert sich dadurch nichts. Zumindest ist es solide
genug um nicht aus dem Netz geklagt zu werden.
Wir müssen bei Gesprächen mit gesellschaftlichen Vertretern beachten, dass
diese in aller Regel keinen Schimmer von den Zusammenhängen und Rollen haben.
In der freien Welt sind die verrücktesten Gerüchte im Umlauf. Beispielsweise,
dass man durch die Nutzung freier Software seine Unfähigkeit unter Beweis
stellt, selbst etwas vernünftiges zu programmieren, oder dass freie Software
infolge oft fehlendem kommerziellem Support wirtschaftlich auf Dauer
riskanter ist als kommerzielle Software uswusf.
Darum müssen wir darauf achten, die Botschaft zu übertragen und (das ist eben
schwierig) nach Möglichkeit die wesentlichen Punkte klar und verständlich.
Die technischen Details sind dafür nicht so wichtig. Wichtig allerdings ist
es, sie dennoch zu kennen und bei Nachfrage in verständlicher Form darbieten
zu können.
Für Leute wie uns ist das eine Hürde - da braucht man sich nicht zu schämen.
Firmen zahlen horrende Gehälter an Leute, die den Kunden Produkte verkaufen
und eben extra keine Ahnung haben was das für Produkte sind. Diese Leute sind
so erfolgreich wie sie sind, weil die meisten Kunden eben keine Details
wissen wollen. Sie wollen wissen, ob das Produkt ihnen helfen kann, nicht wie
es das im Detail macht.
Eins kannst Du mir jedenfalls glauben: Ich habe genau damit die allergrössten
Schwierigkeiten, aber wenn es mir gelungen ist, war ich immer extrem
erfolgreich. Wenn hinter der guten Show auch noch Fachwissen steckt, kriegst
Du die Kunden nicht mehr los.
Darum ist es
(1) Richtig, dass Du den Text hier revidieren lässt
(2) Wichtig, dass _alle_ hier ihre Meinung dazu sagen
denn ich bin nur ein alter Mann, der versucht, aus seinen Erlebnissen die
richtigen Schlüsse zu ziehen und Ratschläge zu geben. Und ich bin, wie früher
bereits erwähnt, ununterbrochen am Lernen - besonders was meine
kommunikativen Fähigkeiten angeht. Kurz: Trotz meiner Kommentare wäre ich
möglicher Weise nicht in der Lage, einen solchen Artikel vion NULL an zu
verfassen.
Darum aus ganzem Herzen meinen Dank für die viele Arbeit, die Du in dieses
Dokument steckst.
Viele Grüsse,
Manfred.
PS: Ich versuche, Sender, Sendetermin und Titel der NSA-Sendung zu ermitteln.